Faylasha raadraaca, ama faylalka Prefetch, waxay ku jireen Windows ilaa XP. Tan iyo markaas, waxay ka caawiyeen forensics dhijitaalka ah iyo khubarada ka jawaabida shilka kombiyuutarka inay helaan raadadka software, oo ay ku jiraan malware. Khabiirka hormuudka ka ah forensics-ka kombuyuutarka Group-IB Oleg Skulkin wuxuu kuu sheegayaa waxaad ka heli karto adigoo isticmaalaya faylasha Prefetch iyo sida loo sameeyo.
Faylasha hordhaca ah waxay ku kaydsan yihiin tusaha %SystemRoot%Prefetch oo u adeega si loo dedejiyo habka bilaabista barnaamijyada. Haddii aan eegno mid ka mid ah faylashaas, waxaynu arki doonaa in magaciisu ka kooban yahay laba qaybood: Magaca faylka la fulin karo iyo jeeg siddeed xaraf ah oo ka soo jeeda jidka loo maro.
Faylasha Prefetch waxay ka kooban yihiin macluumaad badan oo faa'iido leh marka laga eego aragtida baaritaanka: magaca faylka la fulin karo, tirada jeer ee la fuliyay, liisaska faylasha iyo hagayaasha kuwaas oo faylka la fulin karo la falgalay, iyo, dabcan, waqtiyada. Caadi ahaan, saynisyahano cilmi baaris ah ayaa isticmaala taariikhda abuuritaanka fayl gaar ah oo Prefetch si ay u go'aamiyaan taariikhda barnaamijka markii ugu horreysay la bilaabay. Intaa waxaa dheer, faylashani waxay kaydiyaan taariikhda bilawga ugu dambeysa, oo laga bilaabo nooca 26 (Windows 8.1) - waqtiyada todobada ugu dambeeyay.
Aynu soo qaadano mid ka mid ah faylalka Prefetch, ka soo saar xogta anagoo adeegsanayna Eric Zimmerman's PECmd oo aan eegno qayb kasta oo ka mid ah. Si loo muujiyo, waxaan ka soo saari doonaa xogta faylka CCLEANER64.EXE-DE05DBE1.pf.
Haddaba aan ka soo bilowno xagga sare. Dabcan, waxaan haynaa abuurista faylka, wax ka beddelka, iyo helitaanka waqtiyada:
Waxaa raacaya magaca faylka la fulin karo, jeegaga dariiqa loo marayo, cabbirka faylka la fulin karo, iyo nooca faylka Prefetch:
Tan iyo markii aan la macaamileyno Windows 10, marka xigta waxaan arki doonaa tirada bilawga, taariikhda iyo wakhtiga bilawga ugu dambeeya, iyo todoba jeer oo kale oo muujinaya taariikhihii hore ee la bilaabay:
Kuwaas waxaa ku xiga macluumaadka ku saabsan mugga, oo ay ku jiraan lambarkeeda taxanaha iyo taariikhda abuuritaanka:
Ugu dambayn, laakiin ugu yaraan waa liiska hagayaasha iyo faylalka uu fulintu la falgalay:
Markaa, hagaha iyo faylalka ay fulintu la falgashay waa waxa aan rabo in aan diiradda saaro maanta. Waa xogtan tan u oggolaanaysa khubarada ku takhasusay baaritaannada dhijitaalka ah, ka jawaabista shilka kombiyuutarka, ama ugaarsiga khatarta ah ee firfircoon si ay u dejiyaan kaliya maahan xaqiiqda fulinta fayl gaar ah, laakiin sidoo kale, xaaladaha qaarkood, inay dib u dhisaan tabo gaar ah iyo farsamooyinka weeraryahannada. Maanta, weeraryahanadu waxay inta badan isticmaalaan qalab si ay si joogto ah u tirtiraan xogta, tusaale ahaan, SDelete, sidaas darteed awoodda dib u soo celinta ugu yaraan raadadka isticmaalka tabaha iyo farsamooyinka qaarkood ayaa si fudud lagama maarmaan u ah difaac kasta oo casri ah - khabiirka kombuyuutarka, khabiirka jawaabta dhacdada, ThreatHunter khabiir.
Aan ku bilowno tabaha Helitaanka Bilowga ah (TA0001) iyo farsamada ugu caansan, Lifaaqa Spearphishing (T1193). Qaar ka mid ah kooxaha dambiilayaasha internetka ayaa ah kuwo hal abuur leh marka ay doortaan maalgashigooda. Tusaale ahaan, kooxda Aamusnaanta ayaa tan u isticmaalay faylal ku jira qaabka CHM (Microsoft Compiled HTML Help). Haddaba, waxa ina hor yaalla farsamo kale - Faylka HTML oo la soo ururiyey (T1223). Faylasha noocaan ah waxaa lagu bilaabay iyadoo la isticmaalayo hh.exe, sidaas darteed, haddii aan ka soo saarno xogta faylka Prefetch, waxaan ogaan doonaa faylka uu furay dhibbanaha:
Aan sii wadno ku shaqeynta tusaalooyinka kiisaska dhabta ah oo aan u gudubno xeeladda fulinta xigta (TA0002) iyo farsamada CSMTP (T1191). Rakibaha Xidhiidhka Microsoft (CMSTP.exe) waxa isticmaali kara weeraryahanadu si ay u socodsiiyaan qoraalada xaasidnimada leh. Tusaale wanaagsan waa kooxda Cobalt. Haddii aan xogta ka soo saarno faylka Prefetch cmstp.exe, ka dib waxaan mar kale ogaan karnaa waxa dhabta ah ee la bilaabay:
Farsamo kale oo caan ah waa Regsvr32 (T1117). Regsvr32.exe waxaa sidoo kale inta badan isticmaala weeraryahanadu si ay u soo qaadaan. Waa kuwan tusaale kale oo ka yimid kooxda Cobalt: haddii aan xogta ka soo saarno faylka Prefetch regsvr32.exe, ka dibna mar labaad waxaan arki doonaa waxa la bilaabay:
Xeeladaha soo socda waa Joogista (TA0003) iyo Kor u qaadida mudnaanta (TA0004), oo leh Application Shimming (T1138) farsamo ahaan. Farsamadan waxa isticmaalay Carbanak/FIN7 si ay ugu xidhaan nidaamka. Caadi ahaan loo isticmaalo in lagula shaqeeyo xog-ururinta barnaamijka (.sdb) sdbinst.exe. Sidaa darteed, faylka Prefetch ee kan la fulin karo wuxuu naga caawin karaa inaan ogaano magacyada macluumaadka macluumaadka iyo meelaha ay ku yaalliin:
Sida aad ku arki karto sawirka, ma hayno oo keliya magaca faylka loo isticmaalo rakibaadda, laakiin sidoo kale magaca xogta kaydinta ee la rakibay.
Aynu eegno mid ka mid ah tusaalooyinka ugu caansan ee faafinta shabakada (TA0008), PsExec, iyadoo la adeegsanayo saamiyada maamulka (T1077). Adeegga lagu magacaabo PSEXECSVC (dabcan, magac kasta oo kale ayaa la isticmaali karaa haddii weeraryahanadu isticmaalaan cabbirka -r) waxaa lagu abuuri doonaa nidaamka bartilmaameedka, sidaas darteed, haddii aan ka soo saarno xogta faylka Prefetch, waxaan arki doonaa waxa la bilaabay:
Waxay u badan tahay inaan ku dhammaan doono meeshii aan ka bilaabay - tirtirida faylasha (T1107). Sidaan horeyba u xusay, weeraryahano badan ayaa isticmaala SDelete si ay si joogto ah u tirtiraan faylasha marxaladaha kala duwan ee nolosha meertada weerarka. Haddii aan eegno xogta laga soo bilaabo faylka Prefetch sdelete.exe, ka dib waxaan arki doonaa waxa saxda ah ee la tirtiray:
Dabcan, tani maaha liis dhammaystiran oo farsamooyin ah oo la ogaan karo inta lagu jiro falanqaynta faylasha Prefetch, laakiin tani waa inay ku filnaataa in la fahmo in faylasha noocaas ahi ay kaa caawin karaan oo keliya ma aha in la helo raadadka bilowga, laakiin sidoo kale dib-u-dhiska xeeladaha iyo farsamooyinka gaarka ah ee weerarka. .
Source: www.habr.com